Le journal SSO détaillé indique “Nonce has already expired” (Le nonce a déjà expiré), et je ne vois aucun autre message d’erreur.
Cela ne fonctionne ni en environnement de production ni en environnement de développement, donc je ne pense pas que cela soit lié à la configuration du serveur. Aucune modification n’a été apportée au code SSO non plus.
J’ai besoin de pistes pour approfondir les recherches : y a-t-il eu des changements dans le SSO ou de nouvelles options de configuration ajoutées entre les versions 2.5.1 et 2.6.2 ?
Pouvez-vous partager un lien vers votre site ? Avez-vous une configuration inhabituelle avec une application, ou les utilisateurs utilisent-ils simplement un navigateur ?
Merci pour les détails via MP @rysher. Au cas où cela aiderait d’autres personnes, le problème ici était que le flux DiscourseConnect était initié par une requête côté serveur provenant du fournisseur d’identité. Ce n’est pas ainsi que le protocole est conçu pour être utilisé, bien que cela ait été techniquement possible avant le récent commit de sécurité.
La solution consiste à s’assurer que les utilisateurs sont redirigés vers /session/sso dans leur propre navigateur, avant d’être redirigés vers le fournisseur d’identité.